安全性是Web应用程序开发工作中最关键的问题之一。在基于servlet的应用程序里，保护应用程序资源的办法有两种：一是对应用程序进行配置(web.xml)，二是使用Java代码硬编码到程序中。前一种方法使用配置文件，该方法很灵活，这是因为通过使用配置文件，无需改写任何代码就可以改变安全策略，是一种常见的手段。而Struts 2是基于servlet技术的，所以Struts 2的安全策略也可以使用配置文件进行灵活的配置。 

　　配置安全策略时，有两个概念需要清楚的区分 ，用户和角色，简单的说用户为使用计算机的人，可以是个人或组织。角色是一个抽象的概念，泛指职务或者权限。例如，张三，李四，王五三个人，有职员、主管和经理三个职务(权限)，张三是用户，张三可以是主管职务，代表张三这个用户含有主管的权利。

　　不同的servlet容器所提供的用户和角色管理机制是不相同的。我使用的是Tomcat服务器，它提供的用户和角色管理机制文件是在其安装目录下的conf目录中的tomcat-users.xml文件，可以在这个文件里完成对用户和角色的编辑。例如：